Apache Software Foundationは、エンタープライズ環境全域で導入されている高性能ウェブプロキシおよびキャッシング大手ソリューションであるApache Traffic Server(ATS)の2つの高度な重大度の脆弱性に対処するための緊急セキュリティアップデートをリリースしました。
2026年4月2日に公開されたこれらの欠陥により、認証されていないリモートの脅威アクターがサーバをクラッシュさせるか、ステルスなHTTPリクエストスマグリング攻撃を実行することができます。
両方の脆弱性はATS 9.xブランチ(バージョン9.0.0~9.2.12)およびATS 10.xブランチ(バージョン10.0.0~10.1.1)に影響を与えます。
最初の欠陥はCVE-2025-58136として追跡され、CWE-670(常に不正な制御フロー実装)に分類されます。
これはATSのPOST要求処理ロジックの重大なバグを公開し、特定の条件下ではサーバが回復不能な状態に陥り、完全にクラッシュします。
攻撃は認証を必要とせず、特別な権限も必要とせず、ユーザーの操作も必要としないため、CVSS 3.1基本スコアベクトルAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:Hを持ち、これは無視できる攻撃者の努力で完全な可用性への影響を意味します。
公開されているATSインスタンスは、細工されたPOST要求を送信するだけで簡単にオフラインにすることができ、エンタープライズの稼働時間とアプリケーションの可用性を狙う脅威アクターにとって魅力的なツールになります。
2番目の脆弱性CVE-2025-65114はCWE-444(HTTPリクエストの矛盾した解釈)に分類されます。
この欠陥はATSがHTTPメッセージボディの不正なチャンク転送エンコーディングを適切に検証および解析できないことに起因します。
この矛盾はプロキシとバックエンドサーバがリクエスト境界をどのように解釈するかの間に不一致を生じさせ、攻撃者はこの状態を利用してプロキシレイヤーを通じて不正なリクエストをスマグリングすることができます。
悪用の成功により、脅威アクターはセキュリティコントロールをバイパスし、ウェブキャッシュを汚染し、リクエスト/レスポンス分割を実行するか、同じサーバ上の共存ユーザーから機密データを傍受することができます。
特に注目すべき点は、まだ公開エクスプロイトが報告されていませんが、ATSがエンタープライズトラフィック管理で果たす重大な役割は、それを高価値ターゲットにします。
Apache Software Foundationは2026年4月2日に正式にパッチ版をリリースしました。
9.xブランチを実行している管理者はバージョン9.2.13にアップグレードする必要があり、10.xブランチの組織はバージョン10.1.2にアップグレードして両方の脆弱性を軽減する必要があります。
ただし、CVE-2025-65114には設定レベルの回避策は存在しません。修正版へのアップグレードはリクエストスマグリング欠陥の唯一の効果的な軽減方法です。
これらの2つの脆弱性(1つはサーバを簡単にクラッシュさせ、もう1つはサイレントなリクエスト操作を許可)は、パッチが適用されていない場合、複合リスクを表しています。
セキュリティチームは直ちにバージョンアップグレードを優先し、信頼されていないトラフィックに公開されているATSデプロイメントを監査する必要があります。
翻訳元: https://cyberpress.org/apache-traffic-server-flaw/